使用 Linux ACL 覆盖目录创建模式

我尝试授予特定用户（例如“测试”）读取任何新创建的目录的权限。我使用以下方法执行此操作：

undefine@undefine-ThinkPad-T430s:~/test$ getfacl .
# file: .
# owner: undefine
# group: undefine
user::rwx
group::rwx
other::r-x

undefine@undefine-ThinkPad-T430s:~/test$ setfacl -d -m u:test:rX .
undefine@undefine-ThinkPad-T430s:~/test$ getfacl .
# file: .
# owner: undefine
# group: undefine
user::rwx
group::rwx
other::r-x
default:user::rwx
default:user:test:r-x
default:group::rwx
default:mask::rwx
default:other::r-x

然后 - 当我使用 mkdir 命令创建一个新目录时 - 它运行正常：

undefine@undefine-ThinkPad-T430s:~/test$ mkdir testa
undefine@undefine-ThinkPad-T430s:~/test$ getfacl testa
# file: testa
# owner: undefine
# group: undefine
user::rwx
user:test:r-x
group::rwx
mask::rwx
other::r-x
default:user::rwx
default:user:test:r-x
default:group::rwx
default:mask::rwx
default:other::r-x

但是 - 如果我创建一个新的目录强制模式 - 有效权限为空：

undefine@undefine-ThinkPad-T430s:~/test$ mkdir -m 700 testb    
undefine@undefine-ThinkPad-T430s:~/test$ getfacl testb
# file: testb
# owner: undefine
# group: undefine
user::rwx
user:test:r-x           #effective:---
group::rwx          #effective:---
mask::---
other::---
default:user::rwx
default:user:test:r-x
default:group::rwx
default:mask::rwx
default:other::r-x

并且测试用户无法读取目录内的文件。

有没有办法避免这种情况，并授予“测试”用户读取目录内容的权限，无论使用何种模式，当目录创建时？我可以使用 incron 作业来解决这个问题，该作业在目录创建后“修复”权限 - 但这是一种肮脏的黑客行为，我想“以正确的方式”做到这一点

我在 docker 系统中遇到了真正的问题，其中 dockerd 以 0700 模式在 /var/lib/docker/containers 目录中创建自己的目录。